Plateforme
nodejs
Composant
file-type
Corrigé dans
13.0.1
21.3.1
Une vulnérabilité de déni de service (DoS) a été découverte dans le module file-type pour Node.js, utilisé pour la détection du type de fichier. Cette vulnérabilité permet à un attaquant de provoquer une boucle infinie lors du traitement de fichiers ASF (WMV/WMA) malformés, ce qui peut bloquer l'event loop de Node.js et rendre l'application indisponible. La vulnérabilité affecte les versions antérieures à 21.3.1 et a été corrigée dans la version 21.3.1.
L'impact principal de cette vulnérabilité est un déni de service. Un attaquant peut exploiter cette faille en fournissant un fichier ASF spécialement conçu, où l'en-tête secondaire contient un champ size de zéro. Cela déclenche une boucle infinie dans le parser, empêchant l'application Node.js de répondre aux requêtes et d'effectuer d'autres tâches. La taille du payload nécessaire pour provoquer cette boucle est relativement faible (55 octets), ce qui rend l'exploitation facile. Cette vulnérabilité peut entraîner une indisponibilité totale du service, affectant potentiellement les utilisateurs et les systèmes qui dépendent de l'application Node.js.
Cette vulnérabilité a été rendue publique le 2026-03-10. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme modérée, compte tenu de la simplicité de l'exploitation et de la large utilisation du module file-type dans les applications Node.js. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information concernant l'exploitation de cette vulnérabilité.
Applications that rely on the file-type module to determine file types, particularly those handling untrusted or attacker-controlled input, are at risk. This includes web applications with file upload functionality, media processing services, and any Node.js application utilizing the file-type module for file type detection.
• nodejs / server:
npm list file-typeThis command will list the installed version of the file-type module. If the version is less than 21.3.1, the system is vulnerable.
• nodejs / server:
journalctl -u nodejs | grep -i "file-type"Monitor Node.js logs for any errors or unusual activity related to the file-type module, particularly around file parsing.
• generic web:
Inspect file upload endpoints for proper ASF file validation. Ensure that the size field of ASF sub-headers is validated to prevent zero-sized values.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le module file-type vers la version 21.3.1 ou supérieure. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire pourrait consister à désactiver temporairement l'utilisation du module file-type pour le traitement de fichiers ASF provenant de sources non fiables. Il est également possible d'utiliser un proxy inverse ou un WAF (Web Application Firewall) pour filtrer les fichiers ASF entrants et bloquer ceux qui présentent des caractéristiques suspectes, comme un champ size de zéro dans l'en-tête secondaire. Après la mise à jour, vérifiez le bon fonctionnement en testant le traitement de fichiers ASF valides et malformés.
Mettez à jour la dépendance `file-type` à la version 21.3.1 ou supérieure. Cela corrige la vulnérabilité de déni de service causée par une boucle infinie lors du traitement de fichiers ASF malformés. Exécutez `npm install file-type@latest` ou `yarn upgrade file-type` pour mettre à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-31808 is a denial-of-service vulnerability in the file-type Node.js module, allowing an attacker to stall the event loop by providing a crafted ASF file.
You are affected if you are using a version of the file-type module prior to 21.3.1 and handle untrusted ASF files.
Upgrade the file-type module to version 21.3.1 or later. If upgrading is not possible, implement input validation to reject ASF files with zero-sized sub-headers.
There are currently no confirmed reports of active exploitation, but the vulnerability's simplicity suggests it could be exploited.
Refer to the official Node.js security advisories and the file-type module's repository for updates and information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.